Redian新闻
>
观点 | 欧盟以控制者责任为基础的归责体系的困境

观点 | 欧盟以控制者责任为基础的归责体系的困境

公众号新闻

联系微信:heguilvshi 领取优惠券,加入DPOHUB会员!

当违反个人数据保护义务的法律责任在涉及多个实体时,应当如何确定责任主体,如何分配各方责任,如何在有利于个人信息保护的同时又不对相关实体苛以过重的责任,实现公平的价值,是个人数据保护领域的一大问题。Benjamin Wong在本文中指出了欧盟数据保护立法中以控制者责任为基础的归责体系存在的弊端,并提出了自己的观点。


Problems with controller-based responsibility

in EU data protection law

欧盟数据保护法中以控制者责任为基础的归责体系的问题研究

Benjamin Wong

International Data Privacy Law, 2021, Vol. 11, No. 4


译者:中国人民大学法学院硕士生 邱柯臻


作者信息




Benjamin Wong是新加坡国立大学法学院的研究员,其主要研究领域为数据保护法,曾于International Data Privacy Law, Law Quarterly Review, Legal Studies等期刊发表多篇文章。



文章摘要

欧盟数据保护法规采用的是“以控制者责任为基础的归责体系”,在该规则体系中,因违反个人数据保护规定而产生的责任主要由处理个人数据的“控制者”承担。本文指出了欧盟的这种归责体系存在着一定的问题,包括在欧盟法院的判例法中产生的问题,以及该归责体系内生性的问题。本文在对欧盟相关法规的内容及其实施效果,以及域外相关立法进行分析、比较后,针对上述指出的问题提出了相应的解决方案。

文章主要内容

本文以作者对欧盟数据保护法规的归责体系指出的两大问题为主线展开。



一、欧盟法院的判例法中产生的问题


(一)对于联合控制权的定义过于宽泛

同一个人数据处理活动可能由多个主体参与其中,在这种情况下,就有必要考虑哪些参与主体应当被认定为这一处理活动的控制者或联合控制者。根据GDPR第4款第(7)项对于“控制者”的定义可以看出,有两点是可以明确的,其一为由两个以上实体构成的组合具有被认定为联合控制者的可能,其二为任何一个实体组合若被认定为实施某一数据处理的联合控制者,则必须由该组合决定了数据处理活动的“目的和手段”。然而GDPR第4款第(7)项并没有解决一个关键问题,即共同处理个人数据活动中的各个实体必须拥有何种程度的控制权才会被认定为联合控制者?具体而言,是对处理活动的“目的和手段”具有决定性控制权的实体才可能会被认定为联合控制者,还是仅具有较低程度的控制权就可能会被认为联合控者者?上述问题在欧盟法院近期的三个案例中得到了解决,并得出了这样的结论,即一个实体若对某一数据处理活动施加了影响,就可能会被认定为该项处理活动的联合控制者。


1.“影响规则”下的联合控制权认定

从欧盟法院在德国数据保护局 (Schleswig-Holstein) 诉德国学术机构 (Wirtschaftsakademie Schleswig-Holstein GmbH) 一案的判决中可以得出以下结论,即一个实体只要参与了对某一数据处理活动的目的和手段的确定过程,就可以成为联合控制者。因此,即使一个实体本身没有对某一处理活动的目的和手段的决定权,或某一处理活动的目的和手段主要是由其他共同控制者决定的的情况下,也会被认定为联合控制者。这一主张在随后的Jehovan todistajat案中得到了进一步的发展。欧盟法院在Jehovan todistajat案的判决指出,“一个自然人或法人为了自身目的对数据处理行为作出了影响,且该影响与该处理行为的目的和手段的确定之间存在因果关系,该自然人或法人就可被认定为控制者。欧盟法院在Jehovan todistajat一案所述的影响规则似乎代表了当前的法律立场,因为欧盟法院在随后的Fashion ID一案中明确肯定了这一观点。

2.宽泛的“影响规则”的困境

影响规则使得一个实体很容易被认定是某项处理活动的联合控制者,这导致违反相关保护义务而产生的法律责任的归属变得更为宽泛。事实上,有人指出,欧盟法院一直在“拓宽联合控制定义的边界,以至于几乎所有涉及共同实施数据收集或使用行为的数据处理活动都可以用这一术语来描述”。影响规则当然符合“必须对控制者的概念进行宽泛解释”的正统观点,然而,必须质疑的是,影响规则是否将控制者的定义扩展得太大。


(1)影响规则可能会产生与正常预期相反的结果
例:A管理着一个网站,A在该网站的网页上列出了其认为的世界上十大数据保护法学者的姓名。后A进行了相当普遍的搜索引擎优化工作,即对网页进行修改以使得该网站能够在搜索引擎的搜索结果中获得更多的曝光度。根据影响规则,由于A通过进行搜索引擎优化工作,为其目的(提高网站曝光度)对搜索引擎处理个人数据“施加影响”,因此A很可能被认定为任何索引该网站的搜索引擎所做的个人数据处理行为的共同控制者。这一认定结果与不符合正常预期,因为A 不能合理地预见以这种方式作为共同控者者以承担责任。

(2)影响规则可能会导致不具有可预见性的实体被认定为联合控制者
例:在在线社交网络的场景中,Van Alsenoy(Data Protection Law in the EU: Roles, Responsibilities and Liability 一文作者)证明了有至少八种不同类型的主体可能会加入到复杂的个人数据处理系统之中。在这种情况下,可能很难预见哪一方为负责有关处理的联合控制者组合的一部分。这种不可预见性尤其成为问题,因为GDPR第26条明确规定,联合控制者有义务在处理活动实施前完成对相关的责任分配,而联合控制者如果不确定哪方是联合控制者组合的一部分,就无法对责任分配作出安排。

(3)影响规则可能导致不合理的归责结果
根据GDPR第26条第(3)项的规定,数据主体可以针对每个(联合)控制者行使其权利,无论联合控制者内部如何对责任进行分配。因此,即使联合控制者没有真正的控制权,而只是对有关的处理行为施加过一些影响,也会被苛于全部责任。以这种方式分配责任通常会被认为是不合理或不公正的。

(4)影响规则可能会产生与规则目的相反的结果
影响规则倾向于增加作为联合控制者的责任主体的数量,然而,让更多的主体对数据处理活动负责以提高对数据主体的保护水平,这一观点虽然具有较为直观的吸引力,但是数据保护工作组29(29 Data Protection Working Party , WP29)指出,控制者的增加可能会导致不希望出现的复杂性,并可能导致责任分配的不明确,以及欧盟法院法律总顾问Bobek在其关于Fashion ID案的意见中指出,让每个人负责意味着事实上没有人负责。

3.解决方案:“决定性影响规则”

根据以上论述,建议对影响进行改善,即一个实体必须对处理过程施加决定性的影响,才能够被认定为该处理活动的联合控制者(决定性影响规则)。这一规则不应被视为对Jehovan todistajat一案中影响规则的否定,相反,决定性影响规则应当被视为对影响规则的进一步明确,该规则明确了一个实体只有在施加一定程度的影响的情况下,才能够被视为联合控制者。


(二)对不同控制者的临时性区分

ata Protection Directive


1.RPC原则的发展
“责任、权力和能力”在2014年著名的西班牙谷歌案中首次被提及。在该案中,欧盟法院指出,作为控制者,搜索引擎运营商“必须在其责任、权力和能力的框架内,确保处理活动符合(DPD)的要求,以使得该指令规定的内容能够完全生效”。但是“责任、权力和能力”这一原则在西班牙谷歌案中的适用是模棱两可的,其仅仅意味着控制者的“责任、权力和能力”将会影响控制者履行其义务所需的具体行为,还是意味着义务本身就可以被控制者的“责任、权力会能力”所改变?后一种观点在随后的GC案中得到了肯定。

2.限制RPC原则的案例
RPC原则存在严重的问题,首先,DPD或GDPR中没有任何内容表明控制者的义务可以考虑其“责任、权力和能力”而削弱,在没有明确或暗含的立法根据的情况下,RPC原则似乎完全是一个”司法创造“。更重要的是,RPC原则在GC案中的适用导致了搜索引擎运营商与其他类型的控制者产生了区别,即欧盟法院在GC案中,根据RPC原则对搜索引擎运营商适用了DPD第8条的削弱版本。若RPC原则继续在GDPR下适用于未来的案件,那么其他类型的控制者也可能会被区分开来。鉴于“责任、权力和能力”这一概念的模糊性,任何面临被指控违反义务的控制者都可以合理地以“责任、权力和能力”进行抗辩以证明了其履行了该项义务的减弱版本。因而很难看到这种临时性的区分是如何以有原则的方式进行的。

有建议称,RPC原则的适用应当受到限制,该项原则只适用于适用DPD的搜索引擎运营商的数据处理活动,因为该项原则产生于西班牙谷歌案和GC案的特定背景。因此,在GDPR中,RPC原则不应当继续被适用。

3.解决方案:平衡基本权利
平衡权利是替代RPC原则的一个更好的选择。如果认为有必要在特定情况下减轻某些主体的数据保护义务,那么在平衡基本权利的基础上证明这种减轻是合理的,而不是诉诸于“责任、权力和能力”,会更具有原则性。
与 RPC原则不同,GDPR 考虑到了(至少是暗含的)权利平衡。GDPR第1第(2)项规定,GDPR“保护自然人的基本权利和自由”,这表明数据保护权不GDPR的唯一关注点;相反,GDPR的作用是保护欧盟法律秩序中的所有基本权利。GDPR的第4条明确指出,GDPR“尊重所有基本权利”,包括隐私权和数据保护权以外的权利。至关重要的是,GDPR的第4条还规定,数据保护权”不是一项绝对的权利;其必须根据其在社会中的功能加以考虑,并按照比例原则与其他基本权利进行平衡”。

在搜索引擎运营商的特殊情况下,有一个更有力的理由来支持采取权利平衡的方法。GDPR第85第(1)款规定,欧盟成员国必须“成员国应当通过制定法律调和符合本条例制定的个人数据保护权与表达自由权与信息权"。GDPR第85条第(1)款适用于搜索引擎运营商的数据处理活动,因为搜索引擎运营商的操作似乎很清楚,确实涉及表达和信息自由权。因此,当GDPR规定的义务不适当地限制搜索引擎运营商的行为时,这些义务可以通过适用GDPR第85条第(1)款予以削弱。这样一来,RPC原则就完全是多余的了。

二、以控制者责任为基础的归责体系的内生性问题


(一)三大内生性问题

1.复杂性问题
欧盟以控制者责任为基础的归责体系产生了复杂性,因为其依赖的基础概念,即控制者的概念,本身就具有一定的复杂性。WP29、EDPB以及欧洲数据保护监督员(European Data Protection Supervisor, EDPS)认为应该就控制者的概念制定并公布广泛的指导方针,三大机构的这一倾向表明了这一概念的复杂性。事实上,在WP29在其第1/2010号意见中明确承认了控制者这一概念在“具体应用”的实践活动中所产生的复杂性。此外,WP29认为,这种复杂性导致了“责任分配的不确定性”,造成了“对关键领域的数据保护规则的遵守以及对整个数据保护法的有效性的负面影响”

2.分配问题
欧盟这种以控制者责任为基础的归责体系要求在联合控制者之间分配责任,这在实践中引起了复杂的问题,尤其是在如何分配责任方面没有确定性。因为立法对如何在实践中实现这种分配没有提供任何指导。GDPR第26条第(2)款仅规定,联合控制者达成的分配安排“应当恰当地反映相对于数据主体的共同控制者的相应角色和相互关系”。此外,WP29在其第1/2010号意见中没有就联合控制者之间的责任分配提供“一致的指导”。

3.错配问题
由于这种归责体系没有将责任分配给最有能力承担责任的实体,因此这一归责体系可能会产生错配责任的后果。尤其是当控制者实际上无法履行其某些数据保护义务时,该问题则会被进一步放大。例如,对个人数据处理的控制并不一定意味着对个人数据本身的控制,当一个控制者没有实际拥有或者控制个人数据时,其将无法履行GDPR第15条规定的实现数据主体访问权的义务,也无法履行GDPR第16条规定的实现数据主体更正权的义务

(二)非基于控制者责任的归责体系
鉴于上述问题,应当目光转向若干英联邦国家采用的非基于控制者责任的归责体系,并观察其是否具有借鉴意义。

1.部分英联邦国家的实践
四个英联邦国家(加拿大、新西兰、澳大利亚和新加坡)的数据保护制度(以下简称四个英联邦制度)并不依赖于控制者的概念。相反,四个英联邦制度对其监管的实体使用其他标签,即澳大利亚的“APP实体”、加拿大的“组织”、新西兰的“机构”以及新加坡的“组织”。虽然这些标签与控制者的概念之间存在形式上的等同性,但必须注意的是,这些标签与控制者的概念没有实质上的可比性,因为这些标签根据就没有起到“分配责任”的作用。相反,每个标签只是作为其各自数据保护制度所规范的所有实体的一个便捷参照。

第一,实体在收集、使用或披露个人数据时要承担某些义务,这些义务一般涉及同意、通知和目的限制。

第二,实体在持有个人数据时要承担某些义务,这些义务一般涉及安全、访问、更正、准确性和保留限制。

第三,四个英联邦制度对跨境转移个人数据的实体规定了义务,这些义务一般要求实体确保被转移的个人数据在转移后得到同等程度的保护。

第四,四个英联邦制度(除新西兰外)规定了“公开”或“问责”制度。该具体制度通常要求实体提供其数据保护政策和措施,以及为个人申诉提供便利。该制度适用于所有受规制的实体,因此该制度是四个英联邦制度以特定形式规定实体义务的例外。

2.非基于控制者责任的归责体系的优势
四个英联邦国家的非基于控制者责任的归责体系的优势是其避免了欧盟的基于控制者责任的归责体系的三个内生性问题。

首先,非基于控制者责任的归责体系避免了复杂性问题,因为该归责体系不依靠控制者这一复杂的概念来分配责任。因此,在这一归责体系中,没有必要确定哪一方实体“决定了处理个人数据的目的和手段”。在该归责体系中,责任分配的确定更为简单,因为其将特定的数据保护义务与特定类型的处理行为相对应。换言之,为了确定一个实体的数据保护义务的确切范围,需要确定的是该实体所实施的处理行为。

其次,非基于控制者责任的归责体系避免了分配问题,由于该归责体系不依靠联合控制权的概念,因而就并不会迫使合作处理个人数据的各方实体在其内部完成责任分配的安排。事实上,该归责体系并不关注实体是否以及如何合作处理个人数据,因为义务是单独施加给特定的实体的。

最后,非基于控制者责任的归责体系通过其特定归责的制度缓解了履行不能的问题。与基于控制者责任的归责体系不同,即数据保护义务被捆绑在一起并全部施加给控制者,相反,在非基于控制者责任的归责体系中,不同的数据保护义务是根据有关的处理行为的类型而进行施加的。这种特定归责的制度在一定程度上确保了被施加义务的实体确有能力履行该义务。

3.非基于控制者责任的归责体系的劣势
在四个英联邦制度的非基于控制者责任的归责体系中,由于其不采用控制者的概念,并将数据保护的责任进行了分割,这会使得在个人数据处理外包给第三方处理者的情况下,削弱对数据主体的保护,因为数据主体不能简单地向委托方的实体行使权利,而是必须向受托方(第三方处理者)寻求救济
然而,四个英联邦制度中的某些机制可以缓解这一劣势。其可以通过识别某些等同于处理者的实体,然后将相应的责任赋予该实体。这种方式采用了与欧盟的基于控制者责任的归责体系相同的控制者-处理者动态机制,即控制者对出者代表其进行的处理行为负责,但是并没有采用控制者的概念。


文章结论

随着个人数据处理活动变得越来越复杂,当数据保护制度规定了个人数据处理方面的义务时,数据保护制度应确保负责履行这些义务的实体能够事先确定该实体在事实上能够承担违法该义务规定所产生的责任。这种可预测性确保相关责任实体实际上能够遵守其数据保护义务,而数据主体能够因此得到有效和完整的保护。

本文试图强调欧盟基于控制者责任的归责体系的一些问题,并提出了解决这些问题的方案。虽然本文的重点是欧盟的数据保护制度,但本文提出的观点可能适用于采用与欧盟类似的基于控制者责任的归责体系的其他数据保护制度,也可能适用于尚未建立数据保护制度的国家。


________________

 黄昊

 邱柯臻


每天两块钱,实时获取全球数据合规风险预警

如需《英国ICO数据跨境六步法评估工具》PDF版,请加入圈子免费下载

👇

招募讲师:欢迎加入DPOHUB课程平台


  • 平台介绍数据合规权威平台之一,数据法盟和数据保护官的专业粉丝超过10万,学员超过2万。
  • 讲师收益:权威平台的免费宣传,塑造讲师个人职业品牌及影响力;收益共享权。
  • 申请条件:只要在数据隐私、安全及治理等方面具有落地经验或理论积累,都可以申请加入。
  • 授课方式:既可以是体系性课程(每讲20-30分钟),也可以是一次在线讲座(60-90分钟)。
  • 申请方式:请将“简历、课程名称及大纲”发送到微信:heguilvshi 或邮箱:[email protected]


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
“你既不是记者又不是官, 凭什么管这么宽”: 中国县城两类精英的困境与剧变投资的困境以无创血糖仪为基础,怡康聚诚要构建“产品-平台服务-辅助诊断”三位一体血糖监测及健康管理服务生态美国入境档案--马寅初等12名北洋大学学生1907年旧金山入境郑州的困难,是所有人都要面对的困难中国城情结ENS为何大受欢迎,高速发展下的困境不容忽视新东方的困境与忧患每周观察 | RayGen的新型水电池能解决太阳能发电厂的困境吗?俞敏洪:千万不要把眼前的困境,当成终身的命运丘吉尔的困境隐匿的困境:成人“多动症”调查TikTok英国运营模式曝光,中国科技巨头的困境到底在哪儿?最近寫的一些字转码窗口期已过?非科班零基础的我,竟接到谷歌offer。。。我们控制不了地震,但可以控制房子,比如把它跟地震隔开|曲哲 一席第953位讲者权力的游戏:如何走出 “零和博弈”的困境?美国日托中心的困境牵动就业市场陈东楠:边缘的困境与自由内外皆围城:家庭女性的困境深度洞察 |私域流量的困境我曾发誓,绝不让父母面对这样的困境……互联网寒冬!科技公司裁员潮! DoorDash宣布裁员1250人以控制成本 股价闻讯飙升美国务院:“愿为中国提供新冠疫苗以控制疫情”,中方的回应来了疫情防控措施为何做出调整?会让疫情难以控制吗?官方回应→以生物乙醇为基础,向食品饲料转型,Green Plains创新拓展玉米多种用途WiFi常用但不够好用!如何破解无线局域网WLAN的困境?一条导盲犬,身价20万?看完1700万盲人的真实生活,才发现这只是最低级的困境抗疫的“两派”,由毫无科学基础的写手所虚构“噩梦来到家门”,小学生亲哥把班主任娶回家,婚礼现场难以控制······马克龙的困境:提高退休年龄引争议看了《隐入尘烟》最近畫的一些素描百万中国留学生的困境:生活在“次群体”!假装融入当地生活!暖心!班主任为学生打造“治愈系教室”、云南一高校食堂设“无辣窗口”......听,教育早新闻来啦!
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。